在IPv6網絡中，一般的網絡拓補結構是由IPv6路由交換機、二層交換機、IPv6主機構成。通常路由器公告RA，包括IPv6前綴、鏈路MTU等信息，IPv6主機收到RA后，生成IPv6地址，并將默認路由指向發送RA的路由器，從而可以進行IPv6網絡通信。如果惡意的IPv6主機發送RA，使正常的IPv6用戶將默認路由指向惡意的IPv6主機用戶，那么就可截獲別的用戶信息，影響網絡安全。正常的用戶獲得另外的地址，使自己無法鏈接網絡(圖1所示)。同樣也存在一些惡意的攻擊用戶發送大量的RA報文來攻擊網絡容易造成網絡癱瘓(圖2所示)。所以我們要使用IPv6安全RA技術，在交換機的端口通過命令配置拒絕接收惡意的RA報文，這樣在一定程度上防止惡意RA的轉發，可以避免影響網絡的正常工作。

IPv6網關欺騙示意圖

RA報文泛濫示意圖

目前交換機對于RA的處理是硬件轉發的同時COPY到CPU。如果需要實現IPv6安全RA技術，必須有比這個優先級更高的規則，不轉發RA報文同時送CPU處理。根據用戶配置的安全RA信任和非信任端口進行處理。如果是信任端口，收到的RA報文進行正常的轉發，如果是非信任端口，直接丟棄處理。這樣用戶根據需要決定是否接收RA報文，這樣在一定程度上防止惡意RA的攻擊，保證網絡的正常工作。

IPv6安全RA功能實現方法在配置上非常簡單，用戶只需要在全局模式啟動IPv6安全RA功能后，然后再根據需要在某個端口上使能安全RA即可，例如在全局配置模式上輸入命令“ipv6 security-ra enable”。然后在某個端口上（如Ehernet1/2）使能該功能時，交換機軟件系統將會進行如下步驟的操作：

1）所有的RA報文只送CPU處理，硬件不轉發。

2）遍歷非信任端口列表，如果是從這些端口收到的RA報文，則直接丟棄處理。

3）如果是合法信任端口收到的RA報文，則在本VLAN中轉發。